Две локаные подсети, один провайдер, запретить взаимодействие подсетей.

Обсуждение ПО и его настройки
Ответить
DanilovAF
Сообщения: 2
Зарегистрирован: 08 фев 2017, 14:22

Добрый день!

Подскажите пожалуйста бест практик как делается эта схема:

один провайдер PPPoE через Eth1 - WAN
подесть 192.168.0.0/24 - Eth2
подесть 192.168.16.0/24 - Eth3 (LAN2)

Задача:
Хождение между подсетями закрыть.
Обе подсети выпустить в интрнет.

Я реализовал это без помощи Firewall правил.
Один интерфейс увел в другой VRF - LAN2
Добавил еще один маршрут по умолчанию в роутах LAN2 на интерфейс WAN
Добавил маскарад для подсети 192.168.16.0/24
и правило Policy Routing Rule
add dst-address=192.168.16.0/24 interface=WAN table=LAN2, все что идет с WAN в 192.168.16.0/24 направлять в таблицу роутов LAN2.

Все настройки:

Код: Выделить всё

/ip route
add distance=1 gateway=WAN routing-mark=LAN2
/ip route rule
add dst-address=192.168.48.0/24 interface=WAN table=LAN2
/ip route vrf
add interfaces=ether3 routing-mark=LAN2
/ip firewall nat
add action=masquerade chain=srcnat log=yes log-prefix="NAT --->" out-interface=WAN src-address=192.168.16.0/24


Неприятность в том, что из одной подсети можно пинговать шлюз другой сети микротика...

Хочется услышать мнение экспертов
- насколько устойчиво это решение к взлому (цель получить доступ из одной подсети в другую)
- насколько это просто в настройке, по сравнению с бест практис.
- и какова же бест практис в этом вопросе?

Спасибо...


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Ну вы даете.
Не, конечно можно развести по виланам, или по нескольким маршрутизаторам, но почему не подойдет простой вариант:
Три правила в файроволе, разрешить форвард из eth2 в pppoe, из eth3 в pppoe, все остальное дропнуть?

Зы: ну и настроить инет туда-сюда
Зыы: я не эксперт, извините что вмешался :-)


Александр
DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

Бест практис по изоляции уже есть на форуме тут. Зачем намудрён VRF и PBR? У вас же один провайдер. ПРОСТО блокируйте файрволом трафик между подсетями.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Товарищ DmNuts дал правильную ссылку. Но самый простой и быстрый вариант, если не нужны исключения для ограничений, это - ip routes - rule, два правила и ваши подсети полностью изолированы.

Код: Выделить всё

/ip route rule
add action=unreachable dst-address=192.168.16.0/24 src-address=192.168.0.0/24
add action=unreachable dst-address=192.168.0.0/24 src-address=192.168.16.0/24


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Способ с маршрутами хороший, но слишком уж радикальный. Потом никаких телодвижений уже не совершить. Лучше, гибче и идеологически правильнее фаерволом...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
DanilovAF
Сообщения: 2
Зарегистрирован: 08 фев 2017, 14:22

Спасибо!
Переделал схему на два фильтра в таблице forward.
Но осталось, что из одной подсети можно получить доступ к шлюзу другой подсети. Понятно, что это одна и та же железка, но формально задача не решена - один адрес доступен (шлюз другой сети).
Что скажет общий разум по этому поводу?
Т.е. надо добавлять еще эту пару правил на input.

Только я не пойму почему правила фильтрации подсетей на input не отрабатывают? Ведь пакетик только влетает на интерфейс и сразу должен дропнуться, еще не дойдя до forward. Где я не догоняю?
Почитал матчасть, догнал. все встало на свои места... :)


Ответить